Identity Protection Identity Protection

Risikosignale, Risikopolicies und automatische Remediation für kompromittierte oder verdächtige Identitäten. Risk signals, risk policies, and automatic remediation for compromised or suspicious identities.

Lizenz Licensing

Für den vollen Funktionsumfang inklusive Risk Policies ist Microsoft Entra ID P2 erforderlich. Microsoft Entra ID P2 is required for the full feature set including risk policies.

Ebenen Layers

Identity Protection bewertet sowohl einzelne Sign-ins als auch den aggregierten Benutzerzustand. Identity Protection evaluates both individual sign-ins and the aggregated user state.

Ziel Goal

Verdächtige Aktivitäten erkennen und Benutzer automatisch oder manuell remediieren. Detect suspicious activities and remediate users automatically or manually.

Überblick Overview

Identity Protection ist die risikobasierte Erkennungsschicht von Microsoft Entra. Sie sammelt Telemetrie aus Sign-ins, Threat Intelligence und weiteren Microsoft-Sicherheitsquellen, um kompromittierte Konten und verdächtige Anmeldungen sichtbar zu machen. Identity Protection is the risk-based detection layer of Microsoft Entra. It collects telemetry from sign-ins, threat intelligence, and other Microsoft security sources to expose compromised accounts and suspicious sign-ins.

Die wichtigsten Objekte sind Risky users, Risky sign-ins und Risk detections. Darauf bauen Richtlinien für MFA, Passwortänderung, Blockierung und Untersuchungsprozesse auf. The key objects are risky users, risky sign-ins, and risk detections. Policies for MFA, password change, blocking, and investigations build on top of them.

ℹ️ P2 erforderlich ℹ️ P2 required

Detailinformationen zu vielen Detection-Typen sowie automatische risikobasierte Richtlinien setzen Microsoft Entra ID P2 voraus. Detailed visibility into many detection types as well as automated risk-based policies require Microsoft Entra ID P2.

Risikostufen Risk levels

StufeLevel	BedeutungMeaning	PraxisOperational meaning
None	Kein ermitteltes Risiko.No detected risk.	Normale CA-/MFA-Policies greifen, aber keine risikobasierte Aktion.Normal CA and MFA policies apply, but no risk-based action.
Low	Anomalie mit geringer Sicherheit.Low-confidence anomaly.	Geeignet für Beobachtung, abgestufte MFA oder zusätzliche Analyse.Suitable for observation, step-up MFA, or additional analysis.
Medium	Mehrere moderate Indikatoren oder stärkere Heuristik.Multiple moderate indicators or stronger heuristics.	Oft guter Trigger für MFA oder intensivere Untersuchung.Often a good trigger for MFA or deeper investigation.
High	Hohe Sicherheit, dass Konto oder Sitzung kompromittiert ist.High confidence that the account or session is compromised.	Typisch für Block oder sichere Passwortänderung.Typical for block or secure password change.

Niedrige Risiken altern nach längerer Zeit aus; mittlere und hohe Risiken bleiben bestehen, bis sie remediated oder manuell bestätigt bzw. verworfen werden. Genau deshalb sollten High-Risk-Ergebnisse nicht liegen bleiben. Low risks age out after time; medium and high risks remain until they are remediated or manually confirmed or dismissed. That is exactly why high-risk results should never be left unattended.

Risikoerkennungen Risk detections

Die folgende Tabelle führt die gängigen Microsoft-Entra-ID-Protection-Detections für Benutzer- und Sign-in-Risiko vollständig zusammen. Einige Erkennungen liefern variable Risikostufen abhängig von der Signalgüte. The following table combines the full list of common Microsoft Entra ID Protection detections for user and sign-in risk. Some detections can surface at variable risk levels depending on signal quality.

NameName	TypType	Risk levelRisk level	Real-time / OfflineReal-time / Offline	BeschreibungDescription
Activity from anonymous IP address	Sign-in	Medium-High	Offline	Defender for Cloud Apps erkennt Aktivität von anonymen Proxy-IP-Adressen.Defender for Cloud Apps identifies activity from anonymous proxy IP addresses.
Suspicious MFA authentication approval	Sign-in	High	Real-time	Ungewöhnliche Eigenschaften rund um eine MFA-Freigabe deuten auf MFA-Phishing hin.Unusual properties around an MFA approval indicate possible MFA phishing.
Additional risk detected (sign-in)	Sign-in	Variable	Real-time / Offline	Abstrakter Hinweis auf Premium-Detection ohne Detailanzeige in niedrigeren Lizenzen.Abstract pointer to a premium detection without details in lower licenses.
Admin confirmed user compromised	Sign-in	High	Offline	Ein Administrator hat den Benutzer explizit als kompromittiert markiert.An administrator explicitly marked the user as compromised.
Anomalous Token (sign-in)	Sign-in	Low-High	Real-time / Offline	Abnorme Token-Eigenschaften deuten auf Replay oder Missbrauch hin.Abnormal token properties suggest replay or misuse.
Anonymous IP address	Sign-in	Medium	Real-time	Anmeldung von Tor-/VPN-/Anonymisierungs-IP.Sign-in from a Tor, VPN, or anonymizing IP.
Atypical travel	Sign-in	Low-High	Offline	Zwei geografisch entfernte Anmeldungen in unrealistischem Zeitabstand.Two geographically distant sign-ins in an unrealistic time window.
Impossible travel	Sign-in	Medium-High	Offline	Defender for Cloud Apps erkennt unmögliche Reisebewegungen.Defender for Cloud Apps detects impossible travel patterns.
Malicious IP address	Sign-in	High	Offline	Anmeldung von IP mit bösartiger Reputation.Sign-in from an IP with malicious reputation.
Mass Access to Sensitive Files	Sign-in	Medium-High	Offline	Massenzugriff auf potenziell sensible Dateien in SharePoint/OneDrive.Mass access to potentially sensitive files in SharePoint or OneDrive.
Microsoft Entra threat intelligence (sign-in)	Sign-in	Medium-High	Real-time / Offline	MSTIC-/Threat-Intel-basierte Mustererkennung.MSTIC and threat-intelligence-based pattern detection.
New country	Sign-in	Medium	Offline	Anmeldung aus einem Land, das für den Benutzer ungewöhnlich ist.Sign-in from a country that is unusual for the user.
Password spray	Sign-in	High	Real-time / Offline	Erfolgreicher Password-Spray-Angriff gegen den Benutzer.Successful password spray attack against the user.
Suspicious browser	Sign-in	Medium-High	Offline	Verdächtiges Browser-Verhalten über mehrere Tenants und Regionen.Suspicious browser behavior across multiple tenants and regions.
Suspicious inbox forwarding	Sign-in	Medium-High	Offline	Verdächtige automatische Weiterleitung aus dem Postfach.Suspicious automatic forwarding in the mailbox.
Suspicious inbox manipulation rules	Sign-in	Medium-High	Offline	Verdächtige Regeln zum Verschieben/Löschen von Nachrichten.Suspicious rules that move or delete messages.
Token issuer anomaly	Sign-in	Medium-High	Offline	Ungewöhnlicher oder kompromittierter SAML-Token-Aussteller.Unusual or compromised SAML token issuer.
Unfamiliar sign-in properties	Sign-in	Low-High	Real-time	IP, ASN, Gerät oder Browser weichen deutlich vom Normalbild ab.IP, ASN, device, or browser deviates significantly from the user's norm.
Verified threat actor IP	Sign-in	High	Real-time	Anmeldung von einer verifizierten Nation-State- oder Cybercrime-IP.Sign-in from a verified nation-state or cybercrime IP.
Additional risk detected (user)	User	Variable	Real-time / Offline	Abstrakter Premium-Hinweis ohne Detailanzeige.Abstract premium hint without detailed visibility.
Anomalous Token (user)	User	Low-High	Real-time / Offline	Token-Anomalien tragen zum Benutzer-Gesamtrisiko bei.Token anomalies contribute to overall user risk.
Anomalous user activity	User	Medium-High	Offline	Anormales Verwaltungs- oder Verzeichnisverhalten.Abnormal administrative or directory behavior.
Attacker in the Middle	User	High	Offline	Reverse-Proxy-Session mit kompromittierender Adversary-in-the-Middle-Indikation.Reverse proxy session indicating an adversary-in-the-middle attack.
Leaked credentials	User	High	Offline	Validierte Zugangsdaten tauchen in bekannten Datenlecks auf.Validated credentials appear in known leaks.
Microsoft Entra threat intelligence (user)	User	Medium-High	Real-time / Offline	Threat-Intel-Signale verdichten sich auf Benutzerkontext.Threat-intelligence signals converge at the user level.
Possible attempt to access Primary Refresh Token (PRT)	User	High	Offline	Hinweis auf PRT-Zugriffsversuch und mögliche laterale Bewegung.Indicates attempted PRT access and possible lateral movement.
Suspicious API Traffic	User	Medium-High	Offline	Auffällige Graph- oder Verzeichnisabfragen deuten auf Reconnaissance hin.Abnormal Graph or directory API usage suggests reconnaissance.
Suspicious sending patterns	User	Medium	Offline	Verdächtige E-Mail-Sendemuster.Suspicious email sending patterns.
User reported suspicious activity	User	High	Offline	Benutzer lehnt MFA ab und meldet die Anforderung als verdächtig.User denies MFA and reports the prompt as suspicious.

Risikorichtlinien Risk policies

RichtliniePolicy	Typischer TriggerTypical trigger	AktionAction	KommentarComment
Sign-in risk policySign-in risk policy	Medium oder High Sign-in Risk.Medium or high sign-in risk.	MFA oder Block.MFA or block.	Sichert verdächtige Anmeldungen direkt beim Zugriff.Protects suspicious sign-ins directly during access.
User risk policyUser risk policy	High User Risk.High user risk.	Secure password change oder Block.Secure password change or block.	Ideal zur Selbstremediation kompromittierter Benutzer.Ideal for self-remediation of compromised users.
MFA registration policy / campaignMFA registration policy / campaign	Benutzer noch nicht registriert.User not yet registered.	Registrierung von Methoden erzwingen oder bewerben.Require or campaign for method registration.	Nicht direkt Identity Protection, aber eng mit Remediation verbunden.Not directly Identity Protection, but closely tied to remediation.

Konfiguration Configuration

Sign-in Risk Policy konfigurieren Configure sign-in risk policy

Entra admin center → Protection → Identity Protection → Sign-in risk policy öffnen.Open Entra admin center → Protection → Identity Protection → Sign-in risk policy.
Benutzergruppe definieren und Notfallkonten ausschließen.Define the user group and exclude emergency accounts.
Acceptable sign-in risk level festlegen, typischerweise Medium und High.Set the acceptable sign-in risk level, typically Medium and High.
Control = Require MFA oder Block access festlegen.Set the control to Require MFA or Block access.
Erst mit Pilotgruppe testen, dann tenantweit ausrollen.Test first with a pilot group, then roll out tenant-wide.

User Risk Policy konfigurieren Configure user risk policy

Protection → Identity Protection → User risk policy öffnen.Open Protection → Identity Protection → User risk policy.
Hochrisikobenutzer auswählen oder alle Benutzer definieren.Select high-risk users or target all desired users.
Aktion = Require password change bevorzugen, wenn SSPR und Writeback sauber funktionieren.Prefer the action Require password change when SSPR and writeback are working cleanly.
Für privilegierte Konten kann Block access sinnvoller sein.For privileged accounts, Block access can be the better option.

Registrierungsreife sicherstellen Ensure registration readiness

Combined Registration und geeignete Recovery-Methoden bereitstellen.Provide combined registration and suitable recovery methods.
Bei Hybrid Password Writeback vor Aktivierung der User Risk Policy testen.In hybrid estates, test password writeback before enabling the user risk policy.
Support-Prozess für Benutzer mit blockiertem Zugriff definieren.Define a support process for users who get blocked.

Untersuchung Investigation

BerichtReport	FrageQuestion	VorgehenApproach
Risky usersRisky users	Welche Konten sind aktuell gefährdet?Which accounts are currently at risk?	Benutzerhistorie, letzte Aktivität, Remediation-Status prüfen.Review user history, recent activity, and remediation state.
Risky sign-insRisky sign-ins	Welche konkrete Anmeldung war verdächtig?Which specific sign-in was suspicious?	IP, App, Client, Gerät, Zeitpunkt und Resultat prüfen.Inspect IP, app, client, device, time, and result.
Risk detectionsRisk detections	Welche Signale haben das Risiko erzeugt?Which signals produced the risk?	Detection-Typ, Risiko, Entstehungszeit und verwandte Vorfälle analysieren.Analyze detection type, risk level, detection time, and related incidents.

Gute Investigation korreliert Identity Protection stets mit Sign-in Logs, Defender-Signalen, Exchange-/SharePoint-Aktivität und gegebenenfalls Endpoint-Daten. Erst die Kombination ergibt ein belastbares Bild. Good investigation always correlates Identity Protection with sign-in logs, Defender signals, Exchange or SharePoint activity, and where available endpoint data. Only the combination creates a trustworthy picture.

Behebung Remediation

AktionAction	Wann verwendenWhen to use	WirkungEffect
DismissDismiss	False Positive oder bereits extern behoben.False positive or already remediated elsewhere.	Entfernt den offenen Risikozustand.Removes the active risk state.
Confirm compromisedConfirm compromised	Klarer Incident bestätigt.A real incident is confirmed.	Erhöht das Vertrauen in die Kompromittierung und unterstützt stärkere Gegenmaßnahmen.Increases confidence of compromise and supports stronger countermeasures.
Confirm safeConfirm safe	Sign-in oder Benutzer verifiziert legitim.The sign-in or user is verified as legitimate.	Markiert den Befund als bereinigt oder harmlos.Marks the finding as safe or cleared.
Reset passwordReset password	Verdacht auf gestohlene Credentials.Suspicion of stolen credentials.	Unterbricht gestohlene Passwörter und kann User Risk remediieren.Cuts off stolen passwords and can remediate user risk.

Automatische Behebung Automatic remediation

Sign-in Risk Policy + MFA ermöglicht unmittelbare Self-Remediation während der Anmeldung.Sign-in risk policy plus MFA enables immediate self-remediation during sign-in.
User Risk Policy + Secure Password Change behebt kompromittierte Benutzer selbständig, sofern SSPR, PHS und Writeback passend konfiguriert sind.User risk policy plus secure password change remediates compromised users automatically when SSPR, PHS, and writeback are configured properly.
Bei privilegierten Konten sollte Self-Remediation oft durch enges SOC-/IAM-Playbook ergänzt werden.For privileged accounts, self-remediation should often be supplemented by a stricter SOC or IAM playbook.

⚠️ Auto-Remediation nur mit Vorbereitung ⚠️ Prepare before enabling auto-remediation

Automatische Passwortänderung ist nur dann sinnvoll, wenn Benutzerregistrierung, Support-Prozess und Hybrid-Writeback sauber funktionieren. Sonst entstehen Lockouts und Helpdesk-Spitzen. Automatic password change only makes sense when user registration, support processes, and hybrid writeback work cleanly. Otherwise you create lockouts and helpdesk spikes.

CA-Integration CA integration

Identity Protection und Conditional Access ergänzen sich: Risk Signale liefern den Kontext, CA setzt die technische Durchsetzung um. Besonders bewährt sind risikobasierte MFA- und Block-Policies. Identity Protection and Conditional Access complement each other: risk signals supply the context, while CA enforces the control. Risk-based MFA and block policies work especially well.

Sign-in Risk = Medium/High → MFA.Sign-in risk = medium/high → MFA.
Sign-in Risk = High → Block access.Sign-in risk = high → block access.
User Risk = High → Require password change.User risk = high → require password change.
Admins separat modellieren und für High-Risk häufig blockieren statt nur MFA zu fordern.Model admins separately and often block high-risk access instead of only requiring MFA.

PowerShell & Graph PowerShell & Graph

PowerShell

Connect-MgGraph -Scopes "IdentityRiskyUser.ReadWrite.All","IdentityRiskEvent.Read.All"

# List risky users
Get-MgIdentityProtectionRiskyUser

# List risk detections
Get-MgIdentityProtectionRiskDetection

# Confirm a user as compromised
Confirm-MgIdentityProtectionRiskyUserCompromised -RiskyUserId "user@contoso.com"

# Dismiss risk for a user
Dismiss-MgIdentityProtectionRiskyUser -RiskyUserId "user@contoso.com"

HTTP

GET https://graph.microsoft.com/v1.0/identityProtection/riskyUsers
GET https://graph.microsoft.com/v1.0/identityProtection/riskDetections

POST https://graph.microsoft.com/v1.0/identityProtection/riskyUsers/confirmCompromised
Content-Type: application/json

{
  "userIds": [
    "11111111-1111-1111-1111-111111111111"
  ]
}

POST https://graph.microsoft.com/v1.0/identityProtection/riskyUsers/dismiss
Content-Type: application/json

{
  "userIds": [
    "11111111-1111-1111-1111-111111111111"
  ]
}

Best Practices Best practices

Mindestens eine Sign-in-Risk- und eine User-Risk-Policy definieren.Define at least one sign-in risk policy and one user risk policy.
Trusted Named Locations sauber pflegen, damit Risikoentscheidungen präziser werden.Maintain trusted named locations carefully so risk decisions become more precise.
Privilegierte Konten mit strengeren Schwellen und getrennten Playbooks behandeln.Handle privileged accounts with stricter thresholds and separate playbooks.
Identity Protection-Daten täglich überwachen und mit SOC-Workflows koppeln.Review Identity Protection data daily and connect it to SOC workflows.
Risk detections nicht isoliert lesen, sondern immer mit Sign-in- und Endpoint-Daten korrelieren.Do not read risk detections in isolation; always correlate them with sign-in and endpoint data.

Komplette Risikoerkennungs-ReferenzComplete risk detection reference

Die folgende Referenz führt verbreitete Sign-in- und User-Risk-Detections zusammen. Microsoft erweitert Bezeichner und interne Heuristiken regelmäßig; produktive Automatisierungen sollten deshalb unbekannte Werte tolerieren, aber High-Risk-Ereignisse immer in Incident-Prozesse heben.The following reference consolidates common sign-in and user-risk detections. Microsoft extends identifiers and internal heuristics regularly, so production automations should tolerate unknown values—but always escalate high-risk events into incident processes.

riskEventTyperiskEventType	TypType	TimingTiming	LevelLevel	StateState	BeschreibungDescription	MitigationMitigation
anonymizedIPAddress	signIn	realTime	medium	atRisk	Anmeldung über bekannte Anonymisierungsdienste oder Proxy-Infrastruktur.Sign-in through known anonymization services or proxy infrastructure.	MFA erzwingen, IP-Reputation prüfen, Benutzer validieren.Enforce MFA, validate IP reputation, and confirm the user.
adminConfirmedUserCompromised	signIn	offline	high	confirmedCompromised	Administrator hat die Identität explizit als kompromittiert markiert.An administrator explicitly marked the identity as compromised.	Sofort blockieren, Sessions widerrufen, Passwort/Methoden rotieren.Block immediately, revoke sessions, and rotate password and methods.
anomalousToken	signIn	realTime/offline	medium-high	atRisk	Token-Eigenschaften deuten auf Replay oder Missbrauch hin.Token characteristics indicate replay or misuse.	Sessions widerrufen, Token-Path untersuchen, AitM prüfen.Revoke sessions, inspect the token path, and investigate AiTM indicators.
anomalousUserActivity	signIn	offline	medium	atRisk	Ungewohnte Verwaltungs- oder Verzeichnisaktivität im Sign-in-Kontext.Unusual administrative or directory activity in the sign-in context.	Sign-in Logs und Directory Audits korrelieren.Correlate sign-in logs with directory audits.
investigationsThreatIntelligence	signIn	offline	medium-high	atRisk	Threat-Intel-gestützte Untersuchung fand bösartige Muster.Threat-intelligence-backed investigation found malicious patterns.	IOC-Suche, Defender- und SOC-Playbooks auslösen.Run IOC hunting and trigger Defender and SOC playbooks.
impossibleTravel	signIn	offline	medium-high	atRisk	Geografisch unmöglicher Wechsel zwischen Anmeldungen.Geographically impossible change between sign-ins.	VPN, Split-Tunnel und Session-Overlap prüfen.Check VPN, split tunnel, and session overlap.
maliciousIPAddress	signIn	offline	high	atRisk	Quell-IP hat bestätigte bösartige Reputation.Source IP has confirmed malicious reputation.	Sofort blockieren und betroffene Sitzung untersuchen.Block immediately and investigate the affected session.
malwareInfectedIPAddress	signIn	offline	high	atRisk	IP wurde mit Malware- oder Botnet-Aktivität korreliert.IP was correlated with malware or botnet activity.	Endpoint-Status prüfen und Device isolieren.Check endpoint state and isolate the device.
mcasImpossibleTravel	signIn	offline	medium-high	atRisk	Defender for Cloud Apps meldet unmögliche Reisebewegungen.Defender for Cloud Apps reports impossible travel.	MCAS-Sitzungen, ISP-Wechsel und Token-Reuse analysieren.Analyze MCAS sessions, ISP changes, and token reuse.
mcasSuspiciousInboxManipulationRules	signIn	offline	medium-high	atRisk	Verdächtige Exchange-Regeln wurden erkannt.Suspicious Exchange rules were detected.	Mailbox-Regeln entfernen und Postfachrechte prüfen.Remove mailbox rules and review mailbox permissions.
mcasSuspiciousInboxForwarding	signIn	offline	medium-high	atRisk	Unerwartete externe Weiterleitung im Postfach.Unexpected external forwarding in the mailbox.	Forwarding stoppen, OAuth-Apps und Delegationen prüfen.Stop forwarding and inspect OAuth apps and delegations.
newCountry	signIn	offline	medium	atRisk	Anmeldung aus einem für den Benutzer neuen Land.Sign-in from a country that is new for the user.	Reisevalidierung, Geo-Blocking und MFA anwenden.Validate travel, geo-blocking, and MFA.
passwordSpray	signIn	realTime/offline	high	atRisk	Erfolgreicher Password-Spray-Angriff gegen das Konto.Successful password spray attack against the account.	Passwort ändern, Smart Lockout prüfen, IPs blockieren.Change the password, review smart lockout, and block IPs.
riskyIPAddress	signIn	realTime	medium	atRisk	IP ist verdächtig, aber nicht zwingend bestätigt bösartig.The IP is risky, but not necessarily confirmed malicious.	MFA, Benutzerkontakt und weitere Telemetrie heranziehen.Use MFA, user confirmation, and additional telemetry.
suspiciousBrowser	signIn	offline	medium-high	atRisk	Browser-Fingerprints oder Session-Muster wirken verdächtig.Browser fingerprints or session patterns look suspicious.	Token-Diebstahl und AitM-Proxy untersuchen.Investigate token theft and AiTM proxy behavior.
suspiciousAPITraffic	signIn	offline	medium-high	atRisk	Auffällige API-Zugriffe deuten auf Reconnaissance oder Abuse hin.Abnormal API access suggests reconnaissance or abuse.	Graph-Logs, App-Permissions und Rate-Muster analysieren.Analyze Graph logs, app permissions, and rate patterns.
suspiciousIPAddress	signIn	offline	medium	atRisk	Die IP weicht stark vom erwarteten Benutzerprofil ab.The IP deviates strongly from the expected user profile.	Mit Sign-in-Historie und Gerätedaten abgleichen.Compare with sign-in history and device data.
tokenIssuerAnomaly	signIn	offline	medium-high	atRisk	Ungewöhnlicher oder kompromittierter Token-Aussteller.Unusual or compromised token issuer.	Federation, Signing-Zertifikate und Claims-Flow prüfen.Inspect federation, signing certificates, and claims flow.
unfamiliarFeatures	signIn	realTime	low-medium	atRisk	Gerät, Browser, ASN oder Region weichen vom Normalbild ab.Device, browser, ASN, or region deviates from the normal pattern.	Step-up MFA und Benutzerbestätigung auslösen.Trigger step-up MFA and user validation.
verifiedThreatActorIPAddress	signIn	realTime	high	atRisk	Sign-in von einer bestätigten Nation-State- oder Crime-IP.Sign-in from a confirmed nation-state or crime IP.	Blockieren, IOC-Hunt starten, Incident hochpriorisieren.Block, launch IOC hunting, and prioritize the incident.
massAccessToSensitiveFiles	signIn	offline	medium-high	atRisk	Massenzugriff auf sensible Dateien in M365.Mass access to sensitive files in M365.	DLP, MCAS, SharePoint-Aktivität und Downloads prüfen.Review DLP, MCAS, SharePoint activity, and downloads.
userReportedSuspiciousActivity	signIn	offline	high	atRisk	Benutzer hat die MFA-Anforderung als verdächtig gemeldet.The user reported the MFA prompt as suspicious.	Konto isolieren, Sessions widerrufen, Passwort und Faktoren rotieren.Isolate the account, revoke sessions, and rotate password and factors.
attackerInTheMiddle	signIn	offline	high	confirmedCompromised	Hinweise auf Reverse-Proxy- oder Adversary-in-the-Middle-Angriff.Indicators of a reverse-proxy or adversary-in-the-middle attack.	Phishing-Kit untersuchen, Tokens widerrufen, FIDO2 einführen.Investigate the phishing kit, revoke tokens, and introduce FIDO2.
suspiciousMfaApproval	signIn	realTime	high	atRisk	Freigabe passt zeitlich oder technisch nicht zum Anmeldeversuch.The approval does not fit the sign-in attempt in timing or technical details.	MFA-Fatigue-Playbook ausführen.Run the MFA-fatigue playbook.
unknownFutureValue	signIn	varies	unknown	atRisk	Platzhalter für neue Detection-Typen in der API.Placeholder for new detection types in the API.	Automatisierungen tolerant auf unbekannte Werte auslegen.Make automations tolerant of unknown values.
leakedCredentials	user	offline	high	atRisk	Benutzerkennwort wurde in einem Leak gefunden.The user password was found in a leak.	Secure Password Change oder Block und Passwortrotation.Use secure password change or block and rotate the password.
userRiskAlerted	user	offline	medium-high	atRisk	Benutzer wurde als riskant markiert und alarmiert.The user was flagged as risky and alerted.	Incident-Triage und Benutzerkontakt starten.Start incident triage and user outreach.
additionalRiskDetected	user	realTime/offline	variable	atRisk	Premium- oder interne Detection ohne Detailanzeige in allen Lizenzen.Premium or internal detection without full detail in all licenses.	Mit Sign-in, Defender und Auditdaten korrelieren.Correlate with sign-in, Defender, and audit data.
possibleAttemptToAccessPrimaryRefreshToken	user	offline	high	atRisk	Hinweis auf PRT-Abgriff oder Credential Theft auf dem Gerät.Indicates PRT theft or credential theft on the device.	Endpoint forensisch prüfen und Gerät isolieren.Inspect the endpoint forensically and isolate the device.
suspiciousSendingPatterns	user	offline	medium	atRisk	Auffälliges Sendeverhalten deutet auf Mail-Kompromittierung.Abnormal sending behavior suggests mail compromise.	Postfach prüfen, Weiterleitungen entfernen, Benutzer sperren.Inspect the mailbox, remove forwarding, and block the user.
anomalousUserActivity	user	offline	medium-high	atRisk	Ungewöhnliche Directory- oder Adminaktivität auf Benutzerebene.Unusual directory or admin activity at user level.	Role Usage, PIM und Directory Audits korrelieren.Correlate role usage with PIM and directory audits.
investigationsThreatIntelligence	user	offline	medium-high	atRisk	Threat-Intel-Signale verdichten sich auf denselben Benutzer.Threat-intelligence signals converge on the same user.	SOC-Untersuchung mit umfassender Telemetrie starten.Start SOC investigation with broad telemetry.
tokenIssuerAnomaly	user	offline	medium-high	atRisk	Ungewöhnliche Federation- oder Token-Issuer-Muster beeinflussen den Benutzerstatus.Unusual federation or token issuer patterns affect the user state.	Federation Trust und App-SSO prüfen.Inspect federation trust and app SSO.
unknownFutureValue	user	varies	unknown	atRisk	Reservierter Wert für zukünftige User-Risk-Detections.Reserved value for future user-risk detections.	Parser und Workflows robust auf unbekannte Werte bauen.Build parsers and workflows to tolerate unknown values.

Workload Identity ProtectionWorkload identity protection

Workload Identity Protection überträgt Identity-Protection-Prinzipien auf Service Principals und App-only-Workloads. Im Fokus stehen kompromittierte Secrets oder Zertifikate, anormale API-Nutzung, verdächtige Sign-ins und überprivilegierte Anwendungen.Workload Identity Protection applies Identity Protection principles to service principals and app-only workloads. It focuses on compromised secrets or certificates, anomalous API use, suspicious sign-ins, and overprivileged applications.

DetectionDetection	BeschreibungDescription	ResponseResponse
Anomalous service principal activity	Ungewöhnliche Token-Ausgaben, API-Aufrufe oder Permission-Nutzung eines Service Principals.Unusual token issuance, API calls, or permission use by a service principal.	Secret/Certificate rotieren, Consent prüfen, App ggf. deaktivieren.Rotate the secret or certificate, inspect consent, and disable the app if required.
Suspicious sign-in from service principal	App-only-Anmeldung aus ungewohntem Netzwerk, Tenant oder Laufzeitkontext.App-only sign-in from an unusual network, tenant, or runtime context.	Hosting-Standort prüfen, Managed Identity bevorzugen, CA für Workload Identities nutzen.Validate the hosting location, prefer managed identities, and use CA for workload identities.
Leaked credentials for service principal	Geheime App-Credentials sind kompromittiert oder öffentlich geworden.App credentials were compromised or became public.	Credential sofort ersetzen und alte Version widerrufen.Replace the credential immediately and revoke the old one.
Excessive privilege usage	Die App nutzt weit mehr Berechtigungen als betrieblich erwartet.The app uses far more permissions than operationally expected.	Least Privilege herstellen, App Governance und Reviews einführen.Re-establish least privilege and introduce app governance and reviews.

PowerShell

Connect-MgGraph -Scopes "IdentityRiskyServicePrincipal.Read.All","Application.Read.All"
Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/identityProtection/riskyServicePrincipals"
Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/identityProtection/servicePrincipalRiskDetections"

Risikobasierte Conditional-Access-RezepteRisk-based Conditional Access recipes

Die stärksten Designs kombinieren Identity Protection mit klar getrennten Benutzerpopulationen. Die folgenden zehn Rezepte sind als Betriebsbausteine gedacht: mit Report-only beginnen, Ausnahmen dokumentieren und für Administratoren immer eine schärfere Variante vorsehen.The strongest designs combine Identity Protection with clearly separated user populations. The following ten recipes are intended as operational building blocks: start in report-only, document exceptions, and always maintain a stricter variant for administrators.

##	KonfigurationConfiguration	BedingungenConditions	Grant / AktionGrant / action
1	Alle Benutzer → alle Apps → Legacy auth blockieren.All users → all apps → block legacy auth.	Client apps = legacy authentication clientsClient apps = legacy authentication clients	Block accessBlock access
2	Admins → Azure Management + Admin Portals → Phishing-resistant MFA.Admins → Azure Management + admin portals → phishing-resistant MFA.	Directory roles + Any locationDirectory roles + any location	Authentication strength = Phishing-resistant MFAAuthentication strength = phishing-resistant MFA
3	Alle Benutzer → Office 365 → MFA.All users → Office 365 → MFA.	Exclude break-glass + service exceptionsExclude break-glass + service exceptions	Require MFARequire MFA
4	BYOD mobil → Office 365 → App Protection erzwingen.BYOD mobile → Office 365 → enforce app protection.	Platforms = iOS, AndroidPlatforms = iOS, Android	Require approved client app OR app protectionRequire approved client app OR app protection
5	Unmanaged Browser → SharePoint Online → Download einschränken.Unmanaged browser → SharePoint Online → restrict downloads.	Browser + Device state unmanagedBrowser + unmanaged device state	Use app enforced restrictionsUse app enforced restrictions
6	Sign-in risk medium/high → alle Benutzer → MFA.Sign-in risk medium/high → all users → MFA.	Sign-in risk = medium, highSign-in risk = medium, high	Require MFARequire MFA
7	Sign-in risk high → privilegierte Konten → Block.Sign-in risk high → privileged accounts → block.	Separate admin groupSeparate admin group	Block accessBlock access
8	User risk high → Mitarbeiter → Secure password change.User risk high → employees → secure password change.	User risk = high + SSPR readyUser risk = high + SSPR ready	Require password changeRequire password change
9	Guests → Microsoft 365 → MFA + Terms of Use.Guests → Microsoft 365 → MFA + terms of use.	Guests/external usersGuests/external users	Require MFA + Terms of UseRequire MFA + terms of use
10	Workload identity risk high → kritische Service Principals → Block oder Credential-Rotation-Playbook.Workload identity risk high → critical service principals → block or credential-rotation playbook.	Service principal risk = highService principal risk = high	Conditional Access for workload identities + automationConditional Access for workload identities + automation